通过支付宝付款获取用户真实姓名 | wooyun-2012-04600| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-04600

漏洞标题：通过支付宝付款获取用户真实姓名

漏洞作者： n0say

提交时间：2012-02-17 16:48

修复时间：2012-02-21 17:03

公开时间：2012-02-21 17:03

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2012-02-17：细节已通知厂商并且等待厂商处理中
2012-02-21：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

通过支付宝付款获取真实姓名

详细说明：

年前听说那些被人脱烂的库被爆出来，信息无非就是user、password、email、phone等。
email在支付宝上属于登录帐号，"大部份"人应该都是绑定是身份证或者直白说就是认证的用户，其存在真实的姓名。通过"我要付款"就能获取到真实用户名，自从改进功能后，把姓变为*，算是一种有效的改善加固安全。
但还存在一种情况，付了款呢？我没去深入了解最低能付多少钱（1元我相信还是可以成功付的）付完了，真实用户名信息就自动获取到了。
虽然只是个名字，让人知道也无所谓，但遇到NB的社工，结果就不知道怎样了...
Ps:要付款肯定要花钱，当然如果能付0.0x之类的就无所谓了；
还有一点，付了款，对方也能看到你的真实姓名；

漏洞证明：

"我要付款" -> "向一人付款" -> 剩下的走流程，走完再在"我的支付宝" -> "帐户管理" -> "联系人" -> "最近交易的"就能得到完整的用户名。

修复方案：

类似咯，付款和收款方两边姓改*，最好就能让用户自己选择设置这个用户名的隐私项是否显示之类...

版权声明：转载请注明来源 n0say@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2012-02-21 17:03

厂商回复：

谢谢路人甲对阿里巴巴集团的支持。

漏洞Rank：3 (WooYun评价)

漏洞评价：

2012-02-17 17:01 | zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

这个提交N次了。地球人都知道了，为了辨认付款人或收款人。没办法
2012-02-17 17:01 | Mix、小拽 ( 路人 | Rank:10 漏洞数:1 | 求高手指教。。)

社工这么经典的玩意，你也发出来。。
2012-02-17 17:26 | 空 ( 路人 | Rank:1 漏洞数:2 )

晕。。这也发，我妈都知道
2012-02-17 17:41 | network ( 路人 | Rank:7 漏洞数:2 | 我是帅哥)

我儿子也知道这个哦
2012-02-17 17:45 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

好像是补了之后还可以还是有点用的
2012-02-17 17:49 | 子墨 ( 普通白帽子 | Rank:194 漏洞数:22 | 天地不仁,以万物为刍狗;圣人不仁,以百姓为...)

这个算正常的功能吧....
2012-02-17 17:52 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

@子墨我把你看成了玉墨
2012-02-17 18:32 | pestu ( 普通白帽子 | Rank:170 漏洞数:13 | 关注计算机网络安全 lnmpa技术)

支付宝转帐名字中有一个字用"*"代替了吧？
2012-02-17 20:17 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

@xsser 南京人对钓鱼巷的有感情，哈哈~
2012-02-17 22:30 | 梦想肥羊 ( 实习白帽子 | Rank:89 漏洞数:18 | 博客：dnswalk.blog.163.com)

现在不都改成了在转账时名字的姓氏用＊代替了吗…………只有完成了交易，才能看到完整的名字…………
2012-02-17 22:50 | TwoSpring ( 路人 | Rank:8 漏洞数:1 | 游走于道德与随性之间……)

这个支付宝不是已经修补了么？别再显示出来了，阿里会生气了
2012-02-17 23:34 | zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

依然可以看完整的姓名。算bug?
2012-02-18 13:55 | 小雨 ( 普通白帽子 | Rank:105 漏洞数:19 | phper)

我觉得显示出来是应该的吧。万一因为看不到对方信息导致付错款呢？怎么办？
2012-02-22 21:19 | 自由与精神 ( 路人 | Rank:30 漏洞数:5 | 缺乏精神力量，但我向往自由)

这个是没有办法的

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-04600

漏洞标题：通过支付宝付款获取用户真实姓名

相关厂商：阿里巴巴

漏洞作者： n0say

提交时间：2012-02-17 16:48

修复时间：2012-02-21 17:03

公开时间：2012-02-21 17:03

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 n0say@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-04600

漏洞标题：通过支付宝付款获取用户真实姓名

相关厂商：阿里巴巴

漏洞作者： n0say

提交时间：2012-02-17 16:48

修复时间：2012-02-21 17:03

公开时间：2012-02-21 17:03

漏洞类型：设计缺陷/逻辑错误

危害等级：低

自评Rank：5

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2012-04600"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 n0say@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：